[Résolu] pop up, coupure son, ouverture de "mes documents" au

Biessaten

Posté(e) le 23 juillet 2010

- Signaler

Posté(e) le 23 juillet 2010 (modifié)

Ce sujet fait suite à celui ci qui a été "abandonné" : http://forum.zebulon.fr/infection s -pub-lenteur-t177741.html

Donc au démarrage, j'ai une fenêtre Mes Documents qui s'ouvre. J'ai le son wave qui se mets au plus bas régulièrement. Des pop ups s'ouvrent... Aussi j'entend des "sons" bizarre de temps en temps, par exemple un chien qui respire.. Ca ne dure que quelques secondes mais c'est lourd.

Voici le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:59:19, on 23/07/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\FixCamera.exe

C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe

C:\WINDOWS\tsnpstd3.exe

C:\WINDOWS\vsnpstd3.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

D:\MICROS~1\rapimgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\lxdxcoms.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\SNDVOL32.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\TeamScripT4\mirc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\SALIGNAC\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,

O1 - Hosts: ÿþ127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"

O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [b2C_AGENT] C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\MICROS~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.chat-land.org

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://me s s enger.zone.m s n.com/binary/m s grch k r.cab56986.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetwor k s .com/TVUAx.cab

O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://me s s enger.zone.m s n.com/Me s s engerGame s Content/GameContent/fr/mj s s /MJ S S .cab109791.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://me s s enger.zone.m s n.com/binary/S olitaire S howdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://me s s enger.zone.m s n.com/Me s s engerGame s Content/GameContent/fr/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micro s oft.com/window s update/v6/V5Control s /en/x86/client/wuweb_s ite.cab?1249396417968

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.e s et.com/s pecial/eo s /Online S canner.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.faceboo k .com/control s /2009.07.28_v5.5.8.1/Faceboo k PhotoUploader55.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichier s .tou s le s driver s .com/maconfig/MaConfig_4_1_0_2.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://me s s enger.zone.m s n.com/binary/Me s s enger S tat s PAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://me s s enger.zone.m s n.com/binary/Mine S weeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe

O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--

End of file - 10191 bytes

Modifié le 31 juillet 2010 par Biessaten

Citer

Thanos

Posté(e) le 25 juillet 2010

- Signaler

Posté(e) le 25 juillet 2010

salut

Ton pc est infecté par un rootkit. Ce programme va nous permettre de le débusquer =>

Télécharge MBRCheck.exe sur ton Bureau.

Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
Si un code de démarrage inconnu est détecté, des options s'afficheront
Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaitre sur ton Bureau.
Poste stp son contenu dans ton prochain message.

Citer

Biessaten

Posté(e) le 26 juillet 2010

Auteur

- Signaler

Posté(e) le 26 juillet 2010

MBRCheck, version 1.1.1

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0

Size Device Name MBR Status

--------------------------------------------

186 GB \\.\PhysicalDrive0 Unknown MBR code

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done! Press ENTER to exit...

Citer

Thanos

Posté(e) le 26 juillet 2010

- Signaler

Posté(e) le 26 juillet 2010

salut

On continue comme ceci =>

Assure toi d'avoir fait une sauvegarde des données qui ont de l'importance pour toi: réparer le MBR comporte un risque.

Cette procédure a été préparée pour Biessaten : ne pas faire tourner cet outil sans être guidé par un bénévole formé.

Relance l'outil MBRCheck.exe :

Tu verras ceci :

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tape la lettre Y puis valide avec la touche [Entrée]

Ensuite, tu auras ceci :

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]

Ensuite, tu verras ceci :

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tape le chiffre 0 puis valide avec [Entrée]

Tu auras maintenant un choix à faire, avec des codes de MBR :

Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tape le chiffre "1" puis valide avec [Entrée]

Ensuite, tu verras ceci :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

...suivi de "Please reboot your computer to complete the fix."

Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 5 minutes. Après les 5 minutes, démarre la machine normallement, puis viens nous coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).

Citer

Biessaten

Posté(e) le 26 juillet 2010

Auteur

- Signaler

Posté(e) le 26 juillet 2010

MBRCheck, version 1.1.1

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0

Size Device Name MBR Status

--------------------------------------------

186 GB \\.\PhysicalDrive0 Unknown MBR code

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Please select the MBR code to write to this drive:

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

Please reboot your computer to complete the fix.

Done! Press ENTER to exit...

Citer

Biessaten

Posté(e) le 26 juillet 2010

Auteur

- Signaler

Posté(e) le 26 juillet 2010

Juste pour signaler que je n'ai plus les problèmes de son et des pop ups

Citer

Thanos

Posté(e) le 26 juillet 2010

- Signaler

Posté(e) le 26 juillet 2010

salut

Le dernier rapport semble nickel :super: juste pour confirmer, recommence stp l'étape 1 =>

Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
Si un code de démarrage inconnu est détecté, des options s'afficheront
Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaitre sur ton Bureau.
Poste stp son contenu dans ton prochain message.

On en profite pour faire un petit scan supplémentaire =>

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

Double clique sur le fichier Malwarebytes' Anti-Malware.exe pour lancer le programme.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complêt"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Relance après ca OTL.exe puis poste le rapport.

Ca nous permettra de voir si tout est bon

Citer

Biessaten

Posté(e) le 26 juillet 2010

Auteur

- Signaler

Posté(e) le 26 juillet 2010 (modifié)

J'ai toujours "Mes Documents" qui s'ouvre au démarrage.

MBRCheck, version 1.1.1

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0

Size Device Name MBR Status

--------------------------------------------

186 GB \\.\PhysicalDrive0 Windows XP MBR code detected

Done! Press ENTER to exit...

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4354

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

26/07/2010 23:00:27

mbam-log-2010-07-26 (23-00-27).txt

Type d'examen: Examen complet (C:\|D:\|L:\|)

Elément(s) analysé(s): 249127

Temps écoulé: 1 heure(s), 20 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):